为什么LDAP组查询不适用于Active Directory?

下载选项

  • PDF     (294.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (78.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (62.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 8 月 25 日
文档 ID:200629

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍为什么LDAP组查询在邮件安全设备(ESA)上不起作用。

为什么LDAP组查询不适用于Active Directory?

LDAP组查询与绝对是指定组成员的用户进行测试时,为什么没有生成预期结果?

对于使用Microsoft Active Directory的组查询,必须使用组的可分辨名称(DN),而不是其公用名称(CN)。下面是这两个项目的一些示例:

公用名称 (cn):
管理员
Phoenix用户

可分辨名称(DN):
CN=Administrators, DC=Example, DC=Com
CN=Phoenix-Users, OU=Phoenix, DC=Cisco, DC=Com

如果您不确定DN是什么,您可以在Active Directory用户和计算机中找到此项:

  1. 转到“View”(查看)菜单并选择“Advanced Features”(高级功能)
  2. 从所需的组对象的属性中,单击“属性编辑器”
  3. 滚动到“distinguishedName”属性,然后双击该属性
  4. 应突出显示完整字符串。  右键单击并复制到剪贴板

一旦您拥有组的DN,只要您指定组的名称,就可以使用它。  这包括测试查询、内容和邮件过滤器以及邮件策略。

另一种方法是使用以下两个程序之一来查找DN:

ADExplorer
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

Softerra LDAP浏览器
http://www.ldapadministrator.com/download.htm

为此,使用这些工具之一的一般流程概述如下:

  1. 使用LDAP浏览工具连接到域控制器
  2. 查找作为组成员的用户对象
  3. 查找用户对象的“memberOf”属性
  4. 查找对应于您尝试定位的组的DN
  5. 从此属性复制目标组的DN

修订历史记录

版本 发布日期 备注
1.0
27-Aug-2016
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品